Se ha encontrado una vulnerabilidad en el poderoso y muy difundido servicio de correo electrónico de Google Inc. El mismo permitiría a cualquier atacante tener acceso a nuestra bandeja de entrada, pudiendo leer todos los mensajes pasados y los que aún no nos han llegado.
El pasado martes el probador de fallas del reino unido Petko Petkov hizo un anuncio que seguramente dejó temblando a más de un directivo en la Google Inc: el servicio de correo electrónico de Gmail tiene un bug importante. Tan importante es que permitiría a cualquier atacante tener todos los datos que quisiera de nosotros los usuarios.
Petkov ha saltado a la fama recientemente puesto que en los últimos meses ha encontrado vulnerabilidades en los más poderosos sistemas del planeta: el QuickTime de Apple Inc, el Windows Media Player de Microsoft y el Portable Document Format (PDF) de Adobe Systems Inc.
Según él este ataque podría ser perpetrado por cualquier hacker con la suficiente habilidad para implantar un comando en un malware. Este comando se activaría cuando un usuario entrase en una página que lanzara el malware y al mismo tiempo no se haya desloggueado de su cuenta de Gmail.
De esta forma el malware vulneraría el sistema de subida de archivos de las páginas de Google Inc, aprovechando esto para instaurarse en el sistema de filtros de Gmail. De este modo cada e-mail almacenado en la bandeja de entrada y cada nuevo e-mail que desee ingresar puede ser redireccionado a una cuenta que el hacker elija.
Para certificar la veracidad de sus palabras, Petkov posteó una serie de capturas de su pantalla al perpetrar un ataque en una cuenta al azar. En las mismas se puede ver como automáticamente queda registrado en su casilla personal cada uno de los correos que llegan a la cuenta hackeada.
Google todavía no ha emitido ningún tipo de comunicado para afirmar la verdad de las palabras de Petkov, y los usuarios ya comienzan a alarmarse ante la espera de la reparación del bug.
De momento la única solución plausible la ofreció un usuario de Firefox que ha aportado un addon para el navegador. NoScript impide este tipo de ataques CSRF, bloqueando los sitios no confiables y sus posibles popups en JavaScript, Java y otros lenguajes.
Petkov, al igual que ya ha hecho en las otras ocasiones, se negó a hacer públicas las especificaciones del bug, puesto que son las empresas responsables de estos las que deben solucionar sus problemas. Además de nada serviría hacer que miles de hackers alrededor del mundo intenten violar las cuentas de los usuarios. “Es parte de un experimento social que llevo” respondió cuando le preguntaron el por qué de su negativa.
Te imaginas todo lo que podrían robar de nuestras cuentas? Contraseñas de cuentas de banco, de correo, de tarjetas de crédito, secretos, confesiones y cuántas cosas funestas más?
Recent Comments